Num projeto, os recursos do Cloud Key Management Service podem ser criados numa de muitas localizações. Estas representam as regiões geográficas onde um recurso do Cloud KMS é armazenado e ao qual se pode aceder. A localização de uma chave afeta o desempenho das aplicações que usam a chave. Alguns recursos, como as chaves do HSM na nuvem, não estão disponíveis em todas as localizações.
O material das chaves do Cloud KMS e do Cloud HSM está confinado à região selecionada enquanto está em repouso e em utilização.
As tabelas seguintes indicam as localizações disponíveis para utilização no Cloud KMS em diferentes partes do mundo. Pode filtrar estas localizações por tipo de localização, compatibilidade com o Cloud HSM e compatibilidade com o Cloud EKM:
Américas
| Nome da localização | Tipo de localização | Descrição da localização | O Cloud HSM está disponível | O Cloud EKM está disponível |
|---|---|---|---|---|
ca |
Multirregião | Várias regiões no Canadá | Sim | Sim |
nam3 |
Multirregião | Virgínia do Norte e Carolina do Sul | Sim | Sim |
nam4 |
Multirregião | Iowa, Carolina do Sul e Oklahoma | Sim | Sim |
nam6 |
Multirregião | Iowa e Carolina do Sul | Sim | Sim |
nam7 |
Multirregião | Iowa, Virgínia do Norte e Oklahoma | Sim | Sim |
nam8 |
Multirregião | Los Angeles, Oregon e Salt Lake City | Sim | Sim |
nam9 |
Multirregião | Virgínia do Norte e Iowa | Sim | Sim |
nam10 |
Multirregião | Iowa, Salt Lake City e Oklahoma | Sim | Sim |
nam11 |
Multirregião | Iowa, Carolina do Sul e Oklahoma | Sim | Sim |
nam12 |
Multirregião | Iowa, Virgínia do Norte, Oklahoma e Oregon | Sim | Sim |
northamerica-northeast1 |
Região | Montréal | Sim | Sim |
northamerica-northeast2 |
Região | Toronto | Sim | Sim |
northamerica-south1 |
Região | México | Sim | Não |
southamerica-east1 |
Região | São Paulo | Sim | Sim |
southamerica-west1 |
Região | Santiago | Sim | Sim |
us |
Multirregião | Várias regiões nos Estados Unidos | Sim | Sim |
us-central1 |
Região | Iowa | Sim | Sim |
us-east1 |
Região | Carolina do Sul | Sim | Sim |
us-east4 |
Região | Virgínia do Norte | Sim | Sim |
us-east5 |
Região | Columbus | Sim | Sim |
us-west1 |
Região | Oregon | Sim | Sim |
us-west2 |
Região | Los Angeles | Sim | Sim |
us-west3 |
Região | Salt Lake City | Sim | Sim |
us-west4 |
Região | Las Vegas | Sim | Sim |
us-south1 |
Região | Dallas | Sim | Sim |
Ásia-Pacífico
| Nome da localização | Tipo de localização | Descrição da localização | O Cloud HSM está disponível | O Cloud EKM está disponível |
|---|---|---|---|---|
asia |
Multirregião | Várias regiões na Ásia | Sim | Sim |
asia1 |
Multirregião | Tóquio, Osaca e Seul | Sim | Sim |
asia-east1 |
Região | Taiwan | Sim | Sim |
asia-east2 |
Região | Hong Kong | Sim | Sim |
asia-northeast1 |
Região | Tóquio | Sim | Sim |
asia-northeast2 |
Região | Osaca | Sim | Sim |
asia-northeast3 |
Região | Seul | Sim | Sim |
asia-south1 |
Região | Mumbai | Sim | Sim |
asia-south2 |
Região | Deli | Sim | Sim |
asia-southeast1 |
Região | Singapura | Sim | Sim |
asia-southeast2 |
Região | Jacarta | Sim | Sim |
au |
Multirregião | Várias regiões na Austrália | Sim | Sim |
australia-southeast1 |
Região | Sydney | Sim | Sim |
australia-southeast2 |
Região | Melbourne | Sim | Sim |
in |
Multirregião | Várias regiões na Índia | Sim | Sim |
Europa, Médio Oriente
e África
| Nome da localização | Tipo de localização | Descrição da localização | O Cloud HSM está disponível | O Cloud EKM está disponível |
|---|---|---|---|---|
africa-south1 |
Região | Joanesburgo | Sim | Sim |
de |
Multirregião | Várias regiões na Alemanha | Sim | Sim |
eur3 |
Multirregião | Bélgica e Países Baixos | Sim | Sim |
eur4 |
Multirregião | Bélgica, Finlândia e Países Baixos | Sim | Sim |
eur5 |
Multirregião | Londres, Países Baixos e Bélgica | Sim | Sim |
eur6 |
Multirregião | Países Baixos, Frankfurt e Zurique | Sim | Sim |
eur7 |
Multirregião | Londres, Frankfurt e Berlim | Não | Sim |
eur8 |
Multirregião | Zurique, Frankfurt e Berlim | Não | Sim |
europe |
Multirregião | Várias regiões na União Europeia1 | Sim | Sim |
europe-central2 |
Região | Varsóvia | Sim | Sim |
europe-north1 |
Região | Finlândia | Sim | Sim |
europe-north2 |
Região | Estocolmo | Sim | Sim |
europe-southwest1 |
Região | Madrid | Sim | Sim |
europe-west1 |
Região | Bélgica | Sim | Sim |
europe-west2 |
Região | Londres | Sim | Sim |
europe-west3 |
Região | Frankfurt | Sim | Sim |
europe-west4 |
Região | Países Baixos | Sim | Sim |
europe-west6 |
Região | Zurique | Sim | Sim |
europe-west8 |
Região | Milão | Sim | Sim |
europe-west9 |
Região | Paris | Sim | Sim |
europe-west10 |
Região | Berlim | Sim | Sim |
europe-west12 |
Região | Turim | Sim | Sim |
it |
Multirregião | Várias regiões em Itália | Sim | Sim |
me-central1 |
Região | Doha | Sim | Sim |
me-central2 |
Região | Damã | Sim | Sim |
me-west1 |
Região | Telavive | Sim | Sim |
europe multirregional não são armazenados nos centros de dados europe-west2 (Londres) nem europe-west6 (Zurique).
A nível mundial
| Nome da localização | Tipo de localização | Descrição da localização | O Cloud HSM está disponível | O Cloud EKM está disponível |
|---|---|---|---|---|
global |
Global | Sim | Não | |
nam-eur-asia1 |
Multirregião | América do Norte, Europa e Ásia (Iowa, Oklahoma, Bélgica e Taiwan) |
Sim | Não |
Tipos de localizações para o Cloud KMS
Pode criar recursos do Cloud KMS, Cloud HSM e Cloud EKM em diferentes tipos de localizações no Google Cloud, consoante os seus requisitos de disponibilidade. São adicionados estabelecimentos regularmente. Para informações específicas sobre cada localização, consulte Localizações.
Pode saber mais sobre como escolher o melhor tipo de localização.
Os seguintes tipos de localizações estão disponíveis para o Cloud KMS:
- Localizações regionais: os centros de dados de uma localização regional existem num local geográfico específico. Por exemplo, um recurso criado na região
us-central1está localizado no centro dos Estados Unidos. - Localizações multirregionais: os centros de dados de uma localização multirregional estão
distribuídos por uma grande área geográfica. Por exemplo, um recurso criado
na
europemultirregião persiste em vários centros de dados na União Europeia. Não pode escolher que centros de dados na multirregião vão conter os seus dados. - A localização global: a localização
globalé uma região múltipla especial. Os seus centros de dados estão espalhados por todo o mundo. Não pode escolher os centros de dados na multirregião global que vão conter os seus dados.
Escolher o melhor tipo de localização
Por norma, conceba a sua aplicação de modo que todos os respetivos componentes estejam geograficamente próximos uns dos outros e dos clientes da sua aplicação. A localização das chaves é um aspeto importante da conceção da sua aplicação. Após a criação, não é possível mover nem exportar uma chave.
Quando usa uma localização multirregional, como a europe multirregional,
os recursos persistem em vários centros de dados distribuídos pela multirregião.
A criação e a atualização de chaves em localizações multirregionais, incluindo a global
localização, podem ser menos eficientes do que usar uma localização de região única. Para mais
informações, consulte o artigo Ler e escrever em localizações multirregionais.
Use a localização global se todas as seguintes afirmações forem verdadeiras:
- Os componentes da sua aplicação são distribuídos globalmente.
- Tem leituras ou escritas pouco frequentes, mas usa outras operações criptográficas com frequência.
- As suas chaves não têm requisitos de residência geográfica.
- Não está a usar chaves externas.
Para integrações de chaves de encriptação geridas pelo cliente (CMEK), tem de usar exatamente a mesma localização que outros recursos relacionados com a integração. Algumas integrações de CMEK não suportam a localização global. Para mais informações acerca das integrações de CMEK, consulte o artigo
Chaves de encriptação geridas pelo cliente (CMEK).
Os recursos do Cloud EKM dependem da conetividade entre o Google Cloud e um serviço de gestão de chaves externo, fora do Google Cloud. Para os recursos do Cloud External Key Manager, selecione uma localização geograficamente o mais próxima possível da localização onde as chaves estão armazenadas no serviço de gestão de chaves externo.
O Cloud HSM depende da disponibilidade de hardware físico nos centros de dados de uma localização. Para recursos do Cloud HSM, selecione uma localização que suporte o Cloud HSM.
Os recursos do Cloud HSM têm quotas específicas da localização. As quotas do Cloud KMS são globais.
As localizações multirregionais têm quotas separadas, independentemente das quotas das localizações de região única. Por exemplo, para criar recursos do Cloud HSM na região múltipla eur5, tem de ter uma quota de HSM em eur5, mesmo que já tenha uma quota nas regiões únicas que participam em eur5, como europe-west2.
Ler e escrever em localizações de várias regiões
A leitura e a escrita de recursos ou metadados associados em localizações multirregionais, incluindo a localização global, podem ser mais lentas do que a leitura ou a escrita a partir de uma única região.
- Quando cria ou lê versões principais, é sempre necessário consenso entre os centros de dados que armazenam o material da chave. As leituras e as escritas numa única região são, muitas vezes, mais eficientes do que as num local multirregional.
- Quando realiza operações criptográficas, como encriptar ou desencriptar dados, não é necessário consenso. Para operações criptográficas, as localizações multirregionais têm um desempenho semelhante ao das localizações de região única.
- Quando armazena as chaves numa localização ou localizações geograficamente perto dos dados que protegem ou validam, as operações criptográficas são normalmente mais eficientes.
As concessões entre o desempenho e a disponibilidade são exclusivas de cada aplicação. As localizações multirregiões, incluindo global, são mais adequadas para cargas de trabalho com muitas leituras.
Determinar as regiões disponíveis
Pode usar a CLI Google Cloud ou a API Cloud Key Management Service para obter uma lista das regiões disponíveis.
gcloud
gcloud kms locations list
Na saída do comando, a coluna HSM_AVAILABLE indica se a localização suporta o HSM na nuvem. A coluna EKM_AVAILABLE indica se a localização suporta o Cloud External Key Manager. Tenha em atenção que o EKM através de chaves de VPC
só está disponível em localizações regionais.
API
Use os métodos
Locations.get e
Locations.list.
As respostas de ambos os métodos incluem campos booleanos relacionados com as capacidades de uma localização:
Se uma localização suportar chaves do Cloud HSM,
hsmAvailableétrue.Se uma localização suportar chaves EKM da nuvem,
ekmAvailableétrue. Tenha em atenção que o EKM através de chaves de VPC só está disponível atualmente em localizações regionais.
O que se segue?
- Saiba mais acerca da Geografia e regiões no Google Cloud.
- Consulte a lista completa de localizações da nuvem.